GnuPG (Русский)

From ArchWiki
Jump to: navigation, search
Состояние перевода: На этой странице представлен перевод статьи GnuPG. Дата последней синхронизации: 12 декабря 2015‎‎. Вы можете помочь синхронизировать перевод, если в английской версии произошли изменения.

Tango-preferences-desktop-locale.pngЭта страница нуждается в сопроводителеTango-preferences-desktop-locale.png

Статья не гарантирует актуальность информации. Помогите русскоязычному сообществу поддержкой подобных страниц. См. Команда переводчиков ArchWiki

GnuPG позволяет шифровать и подписывать данные, предоставляя развитую систему управления ключами, которая включает в себя модули доступа ко всем типам каталогов открытых ключей.

Установка

Установите пакет gnupg.

При этом будет установлен pinentry — набор простых графических диалогов, который используется GnuPG для ввода паролей. Пакет создает символическую ссылку /usr/bin/pinentry, которая по умолчанию указывает на /usr/bin/pinentry-gtk-2.

Переменные окружения

GNUPGHOME

Переменная $GNUPGHOME используется GnuPG для определения каталога, в котором хранятся все настройки. По умолчанию $GNUPGHOME не установлена и используется домашний каталог текущего пользователя. Таким образом, после установки появится новый каталог ~/.gnupg. Вы можете указать другой каталог для GnuPG, добавив следующую строку в один из файлов начальной инициализации для вашего пользователя (например, ~/.bash_profile или ~/.profile):

export GNUPGHOME="/путь/до/каталога"
Примечание: По умолчанию, для каталога GnuPG устанавливаются права доступа 700, а для файлов в нем — 600. Это значит, что только владелец каталога имеет права на чтение, запись и доступ к файлам (r,w,x). Так сделано для безопасности и не следует это изменять. Если каталог GnuPG или какой-либо файл в нем не следует этому правилу, будет выводиться предупреждение об использовании небезопасных прав доступа.

Файл настроек

По умолчанию используется файл настроек ~/.gnupg/gpg.conf и ~/.gnupg/dirmngr.conf. Если вы хотите изменить расположение, укажите новый каталог настроек GnuPG при помощи опции --homedir ($ gpg --homedir /путь/к/каталогу), либо посредством установки переменной окружения $GNUPGHOME.

В этом файле вы можете указать дополнительные опции. При этом не следует предварять имена опций знаками "-": просто укажите имя опции и необходимые аргументы. В качестве шаблона вы можете использовать файлы из usr/share/gnupg. При первом запуске GPG эти файлы копируются в ~/.gnupg, если их там не существует. Пример базового файла настроек:

~/.gnupg/gpg.conf
default-key имя          # полезно, когда у вас несколько ключей и вы хотите указать какой использовать по умолчанию
keyring файл             # добавит файл в текущий список наборов ключей (keyrings)
trustdb-name файл        # использовать файл вместо стандартного trustdb
homedir каталог          # использовать указанный каталог настроек вместо ~/.gnupg
display-charset utf-8    # пропустить конвертацию кодировок и полагать что система использует кодировку UTF-8
keyserver имя            # использовать имя как сервер ключей
no-greeting              # не показывать текст приветствия во время запуска
armor                    # отобразить ключ в ASCII-совместимом формате (арморинг). По умолчанию используется двоичный формат OpenPGP

Если вы хотите задать какие-нибудь опции по умолчанию для новых пользователей, поместите соответствующие файлы в /etc/skel/.gnupg. При создании нового пользователя файлы отсюда будут скопированы в его каталог настроек GnuPG. Также предоставляется скрипт addgnupghome, который позволяет создать каталоги GnuPG для существующих пользователей:

# addgnupghome user1 user2

Команда создаст каталоги /home/user1/.gnupg и /home/user2/.gnupg, соответственно, скопировав в них файлы из /etc/skel/.gnupg. Пользователи, у которых уже есть каталог настроек GnuPG, будут пропущены.

Основы управления ключами

Примечание: В этом разделе для любой команды, принимающей идентификатор ключа (обозн. <идентификатор>), можно вписать как сам идентификатор, так и его отпечаток, часть имени или адрес электронной почты. GnuPG в этом плане предоставляет большую гибкость.

Создание ключа

  • Сначала выберите наиболее криптостойкие алгоритмы:
~/.gnupg/gpg.conf
personal-digest-preferences SHA512
cert-digest-algo SHA512
default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed
personal-cipher-preferences TWOFISH CAMELLIA256 AES 3DES

В последней версии GnuPG по умолчанию используются алгоритмы SHA256 и AES, каждого из которых достаточно для большинства пользователей. Тем не менее, если вы используете GnuPG версии старее, чем 2.1 или, если вы хотите еще больше повысить уровень безопасности, выполните шаг выше.

  • Сгенерируйте личный ключ, набрав
$ gpg --full-gen-key
Примечание:
  • Опция --full-gen-key доступна начиная с версии gnupg-2.1.0.
  • Вы можете использовать --expert для альтернативных шифров, которые доступны (например ECC Elliptic Curve)

Вам нужно будет ответить на несколько вопросов. Скорее всего, вам понадобится пара RSA-ключей: один для подписывания данных, второй для их шифрования. Размера ключа 2048 бит достаточно. Использование 4096-битных ключей не дает практически никакой пользы, однако тратит куда больше вычислительных ресурсов [1].

Хотя указание даты окончания срока действия подключа технически не является обязательным, это, тем не менее, считается хорошей практикой. Для большинства пользователей будет достаточно срока в один год. В таком случае, даже если вы потеряете доступ к своему набору ключей, по окончании этого срока другие пользователи смогут наверняка узнать, что ключ больше не используется. Обратите внимание, что вы можете увеличивать срок действия уже сгенерированного ключа после без необходимости каждый раз создавать новый.

Управление ключами

  • Запуск gpg --edit-key <идентификатор> отобразит меню, с помощью которого вы можете выполнять большинство задач, связанных с управлением ключами. Например, для указания даты окончания срока ключа:
$ gpg --edit-key <идентификатор>
> key номер ключа
> expire гггг-мм-дд
> save
> quit

Некоторые полезные команды:

> passwd       # изменить пароль
> clean        # сжать все неиспользуемые идентификаторы (которые были отозваны либо их срок действия истек)
> revkey       # отозвать ключ
> addkey       # добавить подключ к текущему ключу
> expire       # изменить дату окончания срока действия ключа
Tip: Если у вас несколько email аккаунтов, вы можете добавить каждый из них как идентификатор, используя комманду adduid. Вы можете установить один приоритетный с помощью primary.
  • Отобразить открытый ключ в ASCII-совместимом формате (для распространения):
$ gpg --armor --output public.key --export <идентификатор>
  • Зарегистрировать ключ в публичном PGP сервере ключей, чтобы другие пользователи могли получить ваш открытый ключ без необходимости напрямую с вами связываться:
$ gpg  --keyserver pgp.mit.edu --send-keys <идентификатор>
  • Подписать и зашифровать файл для пользователя Bob:
$ gpg se -r Bob файл
  • Создать текстовый файл со встроенной подписью:
$ gpg --clearsign файл

Экспорт подключей

Если вы планируете использовать тот же ключ на разных устройствах, вы можете вырезать мастер-ключ и оставить только минимально необходимый подключ для менее защищенных систем.

Прежде всего, определите, какой подключ вы хотите экспортировать.

$ gpg -K

Укажите, что экспортировать нужно только конкретный подключ.

$ gpg -a --export-secret-subkeys [subkey id]! > /tmp/subkey.gpg
Важно: Если вы забудете добавить !, будут экспортированы все ваши подключи.

На этом этапе вы можете закончить, но хорошей идеей будет изменить пароль. Импортируйте ключ во временный каталог.

$ gpg --homedir /tmp/gpg --import /tmp/subkey.gpg
$ gpg --homedir /tmp/gpg --edit-key <user-id>
> passwd
> save
$ gpg --homedir /tmp/gpg -a --export-secret-subkeys [subkey id]! > /tmp/subkey.altpass.gpg
Примечание: Вы получите предупреждение о недоступности мастер-ключа и, что пароль не был изменен, но вы спокойно можете игнорировать это предупреждение, посколько пароль для подключа был изменен.

Теперь вы уже можете использовать /tmp/subkey.altpass.gpg на других ваших устройствах.

Ротация подключей

Важно: Никогда не удаляйте просроченные или отозванные подключи без особой на то причины, иначе вы полностью потеряете возможность расшифровать файлы, зашифрованные старым подключом. Удаляйте только чужие просроченные или отозванные подключи, если хотите очистить свой список открытых ключей.

Если вы выбрали дату окончания срока действия подключа, желательно уже за несколько недель до этой даты создать новый. Таким образом, у других пользователей будет возможность вовремя обновить свой список ключей.

Примечание: Вам не обязательно создавать новый ключ только потому, что предыдущий просрочен. Вы всегда можете продлить срок ключа.
  • Создайте новый подключ (запустите дважды для создания отдельных ключей для подписывания и шифрования)
$ gpg --edit-key <идентификатор>
> addkey

При этом вам будет задано несколько вопросов (рекомендованные настройки смотрите в предыдущем разделе).

  • Сохраните изменения
> save
  • Обновите ключ на сервере ключей.
$ gpg  --keyserver pgp.mit.edu --send-keys <идентификатор>
Примечание: Отзывать просроченные подключи абсолютно бесполезно и является плохой практикой. Если вы постоянно отзываете ключи, уверенность других пользователей в вас может быть подорвана.

Импортирование ключей

  • Импортировать открытый ключ в ваш список открытых ключей:
$ gpg --import public.key
  • Импортировать закрытый ключ в ваш список закрытых ключей:
$ gpg --import private.key
  • Импортировать ключ с сервера ключей (если '--keyserver' не указан, будет использован сервер по умолчанию):
$ gpg --keyserver pgp.mit.edu --recv-keys <идентификатор>

Отображение ключей

  • Вывести список открытых ключей:
$ gpg --list-keys
  • Вывести список закрытых ключей:
$ gpg --list-secret-keys

Шифрование и дешифрование

Для шифрования и дешифрования есть возможность использовать сразу несколько закрытых ключей. В этом случае вам будет необходимо указать, какой именно ключ следует применить. Для этого используйте опцию -u <идентификатор> (или --local-user <идентификатор>), иначе будет использован ключ, выбранный по умолчанию.

Чтобы зашифровать файл:

$ gpg --encrypt -o secret.tar.gpg secret.tar
  • Чтобы указать, для кого будет зашифрован файл, воспользуйтесь опцией -r <идентификатор> (или --recipient <идентификатор>).
  • Вы можете использовать gnupg для шифрования важных документов, но только один файл за раз. Если вы хотите зашифровать директорию или целую файловую систему, вам стоит взглянуть на TrueCrypt или EncFS. Тем не менее, вы всегда можете заархивировать несколько файлов и затем зашифровать архив.

Чтобы расшифровать файл:

$ gpg --decrypt secret.tar.gpg

Необходимо будет ввести ваш пароль.

Шифрование пароля

Может быть полезно зашифровать какой-нибудь пароль, чтобы он не хранился в чистом виде в файле настроек. Например, пароль от вашей учетной записи электронной почты.

Первым делом создайте файл пароля, содержащий только ваш пароль и пустую строку. Обратите внимание: файл должен содержать одну пустую строку в конце, иначе gpg выведет сообщение об ошибке.

Теперь выполните:

$ gpg -e -a -r <идентификатор> файл_пароля

Опция -e обозначает режим шифрования, -a — для вывода в ASCII-совместимом формате, -r — идентификатор ключа.

После выполнения команды в текущем каталоге будет создан новый файл файл_пароля.asc.

gpg-agent

gpg-agent чаще всего используется как посредник для временного хранения пароля (пароль не будет запрашиваться каждый раз, когда нужен). Он полезен если GnuPG используется внешней программой — например, почтовым клиентом.

Включение

Начиная с версии gnupg-2.1, gpg-agent используется по умолчанию. Если вы используете предыдущие версии, вы можете включить его, добавив следующую строку в gpg.conf:

~/.gnupg/gpg.conf
use-agent

Теперь GnuPG будет использовать агент каждый раз, когда ему необходим пароль.

Запуск

Tango-dialog-warning.pngИнформация в этой статье или разделе устарелаTango-dialog-warning.png

Причина: Переменная #GPG_AGENT_INFO устарела начиная с gnupg-2.1. Обратитесь к #Unattended passphrase за новым методом. (Обсудить)


Чтобы агент запускался автоматически, добавьте следующую запись в ваш файл инициализации среды (например, .xinitrc или .bash_profile). Если каталог настроек GnuPG у вас расположен не в стандартном месте (~/.gnupg), не забудьте при этом соответствующим образом обновить значение переменной envfile.

~/.bash_profile
envfile="$HOME/.gnupg/gpg-agent.env"
if [[ -e "$envfile" ]] && kill -0 $(grep GPG_AGENT_INFO "$envfile" | cut -d: -f 2) 2>/dev/null; then
    eval "$(cat "$envfile")"
else
    eval "$(gpg-agent --daemon --enable-ssh-support --write-env-file "$envfile")"
fi
export GPG_AGENT_INFO  # the env file does not contain the export statement
export SSH_AUTH_SOCK   # enable gpg-agent for ssh

Перезайдите в систему и убедитесь, что gpg-agent запущен:

$ pgrep gpg-agent
Совет: Чтобы убедиться в том, что gpg-agent работает корректно, наберите $ gpg-connect-agent. Если всё сделано правильно, будет отображено приглашение для ввода команд (наберите bye и quit для того, чтобы закрыть соединение и выйти).

Запуск с помощью systemd

Также вы можете использовать systemd в пользовательском режиме для запуска агента. Это имеет смысл и при gnupg >= 2.1, поскольку так он будет запускаться вне пользовательских сессий и под контролем systemd.

Создайте файл юнита для gpg-agent:

~/.config/systemd/user/gpg-agent.service
[Unit]
Description=GnuPG private key agent
IgnoreOnIsolate=true

[Service]
Type=forking
ExecStart=/usr/bin/gpg-agent --daemon --homedir=%h/.gnupg
ExecReload=/usr/bin/gpg-connect-agent RELOADAGENT
Restart=on-abort

[Install]
WantedBy=default.target

Затем включите его в список автозапуска и запустите его командами systemctl --user daemon-reload, systemctl --user enable gpg-agent и systemctl --user start gpg-agent.

Примечание:
  • Вам может понадобиться установить для агента какие-нибудь переменные окружения, например GNUPGHOME. Как это сделать, смотрите в разделе systemd/User#Environment variables.
  • Если вы используете стандартный каталог настроек GnuPG (~/.gnupg), вам не нужно указывать его явно. В примере он указан исключительно для справки.
  • Если вы используете SSH возможности gpg-agent'a (--enable-ssh-support), приведенный выше юнит systemd работать не будет.

Настройка

gpg-agent можно настроить в файле ~/.gnupg/gpg-agent.conf. Все опции для настройки перечислены на странице man gpg-agent. Например, так вы можете задать время жизни для ключей в кэше с момента последнего использования:

~/.gnupg/gpg-agent.conf
default-cache-ttl 3600
Tip: Для кеширования вашего пароля на протяжении всей сессии, используйте команду:
$ /usr/lib/gnupg/gpg-preset-passphrase --preset XXXXXX

где XXXX keygrip. Вы можете получить это значение запустив gpg --with-keygrip -K. Пароль будет храниться до перезапуска gpg-agent. Установленное значение default-cache-ttl будет иметь превосходство.

Перезапуск агента

После обновления настроек, перезапустите агент, передав команду RELOADAGENT программе gpg-connect-agent:

$ echo RELOADAGENT | gpg-connect-agent

Будет выведено сообщение OK.

Или же, если вы используете #Запуск с помощью systemd, можно использовать следующую команду:

$ systemctl --user reload gpg-agent

pinentry

gpg-agent использует pinentry для отображения диалога запроса пароля. Это настраивается в файле настроек gpg-agent.

По умолчанию используется диалог GTK+. Однако, есть и другие варианты — смотрите подробнее в info pinentry. Чтобы установить другой диалог, установите опцию pinentry-program:

~/.gnupg/gpg-agent.conf
# PIN entry program
# pinentry-program /usr/bin/pinentry-curses
# pinentry-program /usr/bin/pinentry-qt
# pinentry-program /usr/bin/pinentry-kwallet
pinentry-program /usr/bin/pinentry-gtk-2
Совет: Чтобы использовать /usr/bin/pinentry-kwallet потребуется установить пакет kwalletcli.

После внесения изменений перезапустите gpg-agent.

Unattended passphrase

Начиная с GnuPG 2.1.0 использование gpg-agent и pinentry стало обязательным; это нарушает обратную совместимость для парольных фраз, которые передавались через входной поток с помощью опции --passphrase-fd 0. Чтобы иметь возможность сделать, как раньше, требуется выполнить несколько шагов.

Первым делом, отредактируйте настройки gpg-agent, разрешив режим петли (loopback) для pinentry:

~/.gnupg/gpg-agent.conf
allow-loopback-pinentry

Перезапустите процесс gpg-agent чтобы изменения вступили в силу.

Теперь либо запускайте GnuPG с опцией --pinentry-mode loopback

$ gpg --pinentry-mode loopback ...

либо добавьте ее же в файл настроек GnuPG:

~/.gnupg/gpg.conf
pinentry-mode loopback
Примечание: Разработчики отмечают, что установка pinentry-mode loopback в файле настроек может нарушать другую функциональность GnuPG, и, если это возможно, лучше указывать опцию через командную строку [2].

Встречи для подписи ключей

Чтобы дать возможность пользователям проверить ключи в хранилищах ключей и с собственных списках (то есть, убедиться, что владелец ключа на самом деле тот, за кого себя выдает), PGP/GnuPG использует так называемую "сеть доверия". Для поддержания и развития сети периодически организуются очные встречи, на которых люди, использующие систему PGP, обмениваются своими публичными ключами.

Протокол Циммермана–Сассамана призван сделать этот процесс наиболее эффективным. Здесь вы можете найти подробную инструкцию по проведению встреч на русском языке.

caff

Для упрощения процедуры подписи ключей и отправку этих подписей владельцам ключей вы можете воспользоваться утилитой caff. Установить ее можно из AUR с пакетом caff-svnAUR. Там же доступен signing-party-svnAUR — набор удобных инструментов, включающий также caff. Так или иначе, потребуется установить много зависимостей из AUR. Как вариант, вы можете загрузить и установить эти зависимости из CPAN:

cpanm Any::Moose
cpanm GnuPG::Interface

Для отправки подписей владельцам вам нужен работающий агент MTA. Если у вас его еще нет, установите msmtp.

Смарт-карты

Примечание: Необходимо установить пакеты pcsclite и libusb-compat, а также запустить соответствующую службу systemd: pcscd.service.

GnuPG использует scdaemon как интерфейс к вашему устройству для чтения смарт-карт. Для получения дополнительной информации обратитесь к man-странице scdaemon (1).

Настройка только для GnuPG

Если вы не планируете использовать другие карты, кроме тех, что работают на основе GnuPG, необходимо проверить параметр reader-port в файле ~/.gnupg/scdaemon.conf. Значение '0' относится к первому доступному считывателю последовательного порта, а значение '32768' (по умолчанию) — к первому считывателю USB.

GnuPG вместе с OpenSC

Если вы используете смарт-карту с драйвером opensc (например, ID-карты, распространенные в некоторых странах), необходимо уделить чуть большее время настройке GnuPG. Используя стандартную конфигурацию, при запросе gpg --card-status вы можете получать сообщения вроде этого:

gpg: selecting openpgp failed: ec=6.108

По умолчанию scdaemon пытается подключиться к устройству напрямую. Эта попытка провалится, если считыватель карт используется другим процессом. Например, если демон pcscd используется OpenSC. Чтобы справиться с этой ситуацией, необходимо использовать тот же самый драйвер, который использует opensc — тогда они смогут работать вместе. Чтобы заставить scdaemon использовать pcscd, необходимо удалить reader-port из файла ~/.gnupg/scdaemon.conf, указать путь к библиотеке libpcsclite.so и отключить ccid, чтобы удостовериться, что используется именно pcscd:

~/scdaemon.conf
pcsc-driver /usr/lib/libpcsclite.so
card-timeout 5
disable-ccid

Обратитесь к man-странице scdaemon (1), если вы не используете OpenSC.

Решение проблем

Доступно недостаточно случайных байтов

При генерации ключа gpg может отработать с такой ошибкой:

Not enough random bytes available. Please do some other work to give the OS a chance to collect more entropy!

Для проверки доступной энтропии, проверте параметры ядра:

cat /proc/sys/kernel/random/entropy_avail

Здоровая система Линукс с большим количеством доступной энтропии вернет значение близко к полным 4,096 бит энтропии. Если возвращенное значение менее 200, система имеет низкую энтропию.

Для решения этого, вам не стоит много раз создавать ключи, а лучше всего делайте то, что предлагает сообщение выше(например делайте активным диск, двигайте мышкой, редактируйте википедию - все это создает энтропию). Если это не помогает, проверьте какой сервис использует энтропию и рассмотрите временную его остановку. Если это не альтернатива, смотрите Random number generation#Faster alternatives

su

При использовании pinentry, у вас должны быть корректные настройки прав доступа к устройству терминала (например /dev/tty1). Однако, с su (или sudo) права доступа остаются от прежнего пользователя системы. Из-за этого будут возникать проблемы с pinentry, даже при запуске от имени суперпользователя. Чтобы исправить эту проблему, назначьте нового владельца к устройству терминала до использования pinentry (например, используя gpg-agent). Используя gpg от суперпользователя, просто измените владельца на root перед запуском gpg:

chown root /dev/ttyN  # где N — текущий tty

Затем верните прежнего владельца после первого запуска gpg. Аналогично должно работать и для /dev/pts.

Примечание: Владелец tty должен совпадать с пользователем, от имени которого запущена pinentry. Добавления пользователя в группу tty не поможет решить проблему.

Agent выводит ошибку end of file

По умолчанию используется диалог pinentry-gtk-2, для правильной работы которого требуется запущенный DBus. Для получения дополнительной информации смотрите раздел Устранение часто встречающихся неполадок#Разрешения сессии.

Также вы можете использовать версию pinentry-qt. Как это сделать, смотрите в разделе #pinentry.

Настройка прав доступа для KGpg

Некоторые пользователи сталкивались с проблемой, когда kdeutils-kgpg не может получить доступ к настройкам в ~/.gnupg/. Одна из причин может быть в устаревшем файле опций. Подробности смотрите в отчете об ошибке.

Также наблюдались проблемы, когда KGpg не запускается, если права доступа к директории ~/.gnupg отличаются от drwxr-xr-x. Если вы изменили права доступа таким образом, обязательно убедитесь, что все файлы внутри каталога имеют права доступа -rw-------! Затем, отправьте отчет об этой ошибке разработчикам.

Конфликты между gnome-keyring и GPG-Agent

Tango-emblem-important.pngПравильность информации, представленной в этой статье или разделе, оспариваетсяTango-emblem-important.png

Причина: Смотрите #GPG AGENT INFO. (обсуждение: Talk:GnuPG (Русский)#)

Хотя Gnome keyring реализует функциональность агента GPG, с версии GnuPG 2.1 переменная GPG_AGENT_INFO игнорируется, поэтому Gnome keyring больше не получится использовать в качестве агента GPG.

mutt и gpg

Если вы хотите, чтобы пароль запрашивался только единожды за один сеанс в новой версии GnuPG 2.1, смотрите эту ветку форума.

"Потерявшиеся" ключи после обновления до GnuPG 2.1

Если команда gpg --list-keys перестала отображать какие-то ключи, а приложения ругаются на отсутствующие/поврежденные ключи, вероятно, какие-то ключи не были сконвертированы в новый формат.

Пожалуйста, прочтите исправление ошибки Invalid packet. Здесь говорится, что существует баг с ключами в старых файлах pubring.gpg и secring.gpg, которые были заменены файлом pubring.kbx и подкаталогом private-keys-v1.d/. Потерянные ключи можно восстановить следующими командами:

$ cd
$ cp -r .gnupg gnupgOLD
$ gpg --export-ownertrust > otrust.txt
$ gpg --import .gnupg/pubring.gpg
$ gpg --import-ownertrust otrust.txt
$ gpg --list-keys

gpg зависает на всех серверах ключей(при попытке получения ключей)

Если gpg зависает на определенном сервере ключей, когда пытается получить ключи, вам прийдется убить dirmngr для того, чтобы получить доступ к другим действительно рабочим серверам, в противном случае gpg останется зависшим для всех них.

Смарт-карта не обнаружена

Пользователь, из-под которого вы работаете, похоже, не имеет права доступа к смарт-карте, в следствие чего и возникает card error, даже если карта корректно настроена и установлена.

Одно из возможных решений - добавить новую группу scard с включением в нее пользователей, которым нужен доступ к смарт-катре.

Tango-emblem-important.pngПравильность информации, представленной в этой статье или разделе, оспариваетсяTango-emblem-important.png

Причина: Is MODE="664" necessary? Assigning a group, MODE="660" may be enough? (обсуждение: Talk:GnuPG (Русский)#)

Дальше используйте подобное udev правило:

/etc/udev/rules.d/71-gnupg-ccid.rules
ACTION=="add", SUBSYSTEM=="usb", ENV{ID_VENDOR_ID}=="1050", ENV{ID_MODEL_ID}=="0116|0111", MODE="664", GROUP="scard"

Только нужно адаптировать VENDOR и MODEL в согласии с выводом lsusb. Выше приведен пример для YubikeyNEO.

Смотрите также